如今,安全运营团队(SOCs)正受到本应帮助他们的机制的攻击。最近的一项行业研究揭示了一些令人震惊的事实:
- SOCs每天有大约三分之一的时间在处理误报问题。
- 即便如此,SOCs每天也只能处理半数他们应该处理的警报。
- 在目前使用自动化的所有团队中,只有50%人员负责威胁搜寻和事件处置。
不出所料,绝大多数人员(80%)反馈,他们使用的手动流程已经影响到工作效率,这一现象揭示了当前主要问题:警报过于频繁,而且其中不少是无效的报警,以及没有精简流程帮助 SOC 解决问题。
本文探讨几种减轻安全运营团队过度警报负担的策略,包括使用自动化技术和警报调整。
警报疲劳:人类独自难以承受
自动化和增强技术的需求得到了广泛认可,因为当前的威胁超出了安全团队处理的能力。我们已经到了一个不合理的地步,即所有安全运营完全由人力驱动是不合理的。随着SaaS应用和公有云使用的普及,IT基础设施不断扩张,勒索软件在漏洞利用后的几天内而不是几周内部署。同时,安全设备生成的遥测数据量不断增加,分析师常常面临海量的警报信息。这些因素都要求我们采用自动化技术来提升应对威胁的能力。
当分析师将他们宝贵的时间(和教育)花费在超过三分之一的无价值追求上时:
- 生产力可能会下降
- SOC 成员可能会感觉到他们的工作陷入困境
- 公司可能会面临失去高素质的网络安全专业人员,因为安全专家们也会寻找更好的工作机会
此外,找到更有效的方法来减少警报是提高安全运营效率的关键,同时也确保在竞争激烈的网络安全职业环境中留住人才。
别忘了最明显的后果之一:企业未能得到有效保护。当SOC在繁忙的工作中选择处理的警报时(有时甚至不确定哪些是最重要的),于是便留下巨大的工作盲点。如果明天发生了数据泄露,而你没能及时处理这个警报,潜在的灾难是无穷无尽的。
抗击警报疲劳的策略
那么,如何防止这种流血呢?为了避免警报被遗忘、忽视、置之不理或丢失,正确的组织至关重要,这是人类单独无法完成的工作。以下是一些策略,可以将警报的负担转移到功能强大的技术上,同时将我们宝贵的专家保留在真正需要他们的地方。
1、自动化和大语言模型
虽然目前许多工具和服务都提供自动威胁检测(因此产生大量警报),但可以以不同的方式应用自动化来实现更特定的目标。今天的大多数工具都可以映射到 MITRE ATT&CK 战术库,但有时需要更多的定制化。例如,利用引导性提示,大语言模型可以用来构建更为精确的规则内容,比如ChatGPT的生成式AI,当提示词的自定义程度越高时,结果就会变得越精确和具体,这样就能减少混乱无序的警报,使警报更加精准集中。
2、基于 AI 的技术
采用人工智能(AI)和机器学习(ML)技术是另一种减少警报疲劳的方法。以扩展检测与响应(XDR)解决方案为例,利用AI驱动的自动化工具可以自动执行调查流程,筛选出潜在的误报案例,而将剩下的需要人工分析的任务留给专业团队处理。这样不仅能提高效率,还能确保重要信息不被遗漏。
然而,这些强大的查找功能也可能导致问题,因为一旦企业被搜索,可能会有太多的异常需要筛选。解决方案是更好地确定您拥有的警报的优先级,而警报调整可以帮助实现这一点。
3、警报调整
为了设定关键报警的优先级,SOCs需要调整警报阈值,确保这些设置既足够灵敏又不会触发无关警报。虽然这看起来像是一门艺术,但调整警报并不应该是一场充满猜测和检查的复杂游戏。实际上,它本不该如此。
- 以历史数据为依据而非依赖直觉,我们应关注的是这类警报所引发的实际威胁与误报的比例。因此,我们需要对警报系统进行相应的调整。
- 设定明确的指标是关键。这些指标将自动提示您何时可以转入生产环境,让规则成为您的助手,避免每次都要做出新的决策(因为频繁的决策也可能是一种风险)。
- 将调整工作集中在剔除很少产生真正阳性的警报上。通过逐个剔除这些能量沙坑,你的团队将逐步有更多的时间投入到重要的事情上。
汇总警报类型并开始调查其有效性后,以下几个问题可以帮助加快此过程:
1)这种检测类型能否单独识别威胁,还是后面在杀伤链中标记它(当另一个警报更早地标记它时)?你一定不希望出双重告警。
2)您的规则是否简化?“失控”警报可能由模糊或影响太深的规则触发,这些规则会导致不必要的通知。
3)这个警告是否有确凿的证据?尽管不能完全排除这种可能性,但建议优先考虑那些已证实的告警,,然后以此为基础进行扩展。
今天的 SecOps:少即是多 - 让人们参与其中
我们当然生活在信息时代,但具有讽刺意味的是,太多的信息正在拖累安全运营团队,并削弱我们的自我保护能力。几年前,讨论可能取决于 “数量和实时性”,而今天的对话现在集中在弄清楚哪些警报是重要的,哪些是要淘汰的。套用皮克斯电影《超人总动员》中的一句台词,“当每件事都是特别的时候,就没有一件事是特别的”。然而,大部分淘汰过程需要人工决策。
在这一点上,国际公认的网络安全架构师和倡导者 Ali Hader :“自动化的系统应被视为辅助而非完全替代分析师的工具。因此,人工监督对于解释警报、调查潜在威胁和做出明智的决策至关重要。”
各安全运营团队成员可以通过运用自动化技术、大模型、先进的机器学习与人工智能分析工具,结合合理的警报筛选策略,来提升个人技能水平,从而更有效地捕捉关键信息。
热门跟贴